@THT

Как настроить Windows Certificate Authority что бы подписать PDF в Adobe Acrobat?

Привет. Ни как не могу настроить, что бы сертификатом(выданным внутренним CA) подписывать документы PDF.
Имеется:
OS Windows Server 2016 Std; Windows Server 2012R2 Std.
Adobe Acrobat DC; X
Stand-alone root-ca
Enterprise sub-ca
На sub-ca настроен Web Enrollment

Под пользователем через сайт, или оснастку mmc создаю запрос на сертификат. Стандартный шаблон - User. Пробовал так же создавать шаблон, только для подписания документов. Полученный сертификат импортирую.
Проверяю что бы работала вся цепочка.
59ede96fe7912193530566.png
Цепочка работает.
Список и отозванные сертификаты crl и crt, доступны и видны через pki.domain.ru/*.crl/crt
Все сервисы, такие как: IIS (Сертификат для HTTPS), Exchange, получают сертификаты с данного sub-ca и всё работает без ошибок. А вот с Adobe Acrobat, не получается настроить. Ошибки, за ошибками каждый раз.
В настройках Adobe Acrobat выставлены настройки, что бы доверять корневым сертификатам (хранилище Windows)
Вот что пишет Adobe Acrobat когда пытаешься проверить подпись
59ede9a15fb7c956432916.png
Сертификат пользователя
59ede9c446de4239401667.png
Сертификат sub-ca
59ede9ef7310b843745479.png
Сертификат root-ca
59ede9ff4e3fd466049626.png
При этом, на конфигурации под Windows Server 2008R2 (root-ca; sub-ca) работает всё замечательно.
В чём проблема, не могу понять. Помогите пожалуйста. Ни где не нашёл свежего гайда. Возможно Adobe просто выпилила поддержку подписывать PDF, подписью от сервера сертификации под 2012R2/2016 сервера.
  • Вопрос задан
  • 415 просмотров
Решения вопроса 1
@THT Автор вопроса
Ура! Победа будет за нами :)
Проблема была из-за "Signature algorithm", использовался алгоритм "rsassa-pss" для генерации ключей, а "Signature hash algorithm" был sha256, но hash не влиял на дальнейшею работоспособность.
Если установить "Signature algorithm" в значение - sha1 или sha256, то Adobe Acrobat X/DC прекрасно подписывает и проверяет цепочку сертификации. Что и было на 2008R2 серверах.
Значение можно изменить с помощью реестра
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Lab Issuing SubCA\CSP]
"AlternateSignatureAlgorithm"=dword:00000000 - устанавливаем значение 0, по умолчанию используется значение 1.
С помощью предустановленного файла CAPolicy.inf со строкой
AlternateSignatureAlgorithm = 0
И с помощью команды
Certutil -setreg CA\csp\AlternateSignatureAlgorithm 0
После этого, остаётся только перевыпустить все сертификаты, начиная с root-ca.
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы